ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
このセクションでは、いくつかの標準的な権利プロファイルについて説明します。権利プロファイルとは、承認などのセキュリティー属性、セキュリティー属性を持つコマンド、および補助権利プロファイルを使いやすく集めたものです。Oracle Solaris では権利プロファイルが多数提供されています。それらがニーズを満たさない場合は、既存のものを変更して、新しいものを作成できます。
権利プロファイルは、もっとも権限のあるものからもっとも権限のないものへと順番に割り当てられる必要があります。詳細は、「割り当てられたセキュリティー属性の検索順序」を参照してください。
System Administrator 権利プロファイル – セキュリティーに関係しないほとんどのタスクを実行できるプロファイルを提供します。このプロファイルには、権限のある役割を作成するためにいくつかのほかのプロファイルが含まれます。All 権利プロファイルは、補助権利プロファイルのリストの最後にあります。profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p "System Administrator" info
Operator 権利プロファイル – ファイルおよびオフラインメディアを管理するための制限された機能を提供します。このプロファイルには、単純な役割を作成するための補助権利プロファイルが含まれます。profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p Operator info
Printer Management 権利プロファイル – 印刷を処理するための限られた数のコマンドと承認を提供します。このプロファイルは、単一の管理領域を対象とする複数のプロファイルのうちの 1 つです。profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p "Printer Management" info
Basic Solaris User 権利プロファイル – セキュリティーポリシーの範囲内でユーザーがシステムを使用できるようにします。このプロファイルは、デフォルトで policy.conf ファイル内にリストされます。Basic Solaris User 権利プロファイルを使用するときは、サイトのセキュリティー要件を考慮する必要があります。高いセキュリティーを必要とするサイトでは、このプロファイルを policy.conf ファイルから削除するか、または Stop 権利プロファイルを割り当てることをお勧めします。profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p "Basic Solaris User" info
Console User 権利プロファイル – ワークステーションの所有者向けで、コンピュータの前に座っているユーザーに承認、コマンド、およびアクションへのアクセスを提供します。profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p "Console User" info
All 権利プロファイル – 役割に対して、セキュリティー属性を持たないコマンドへのアクセスを提供します。このプロファイルは、限られた権限を持つユーザーに適している場合があります。profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p All info
Stop 権利プロファイル – それ以降のプロファイルの評価を停止する特殊な権利プロファイルです。このプロファイルは、policy.conf ファイル内の AUTHS_GRANTED、PROFS_GRANTED、および CONSOLE_USER 変数の評価を中止します。このプロファイルを使用すると、役割とユーザーに制限付きプロファイルシェルを提供できます。
注 - Stop プロファイルは、特権の割り当てに間接的な影響を及ぼします。Stop プロファイルのあとにリストされた権利プロファイルは評価されません。したがって、そのようなプロファイル内に特権が指定されているコマンドは有効ではありません。このプロファイルを使用するには、「管理者を明示的に割り当てられた権限に制限する方法」を参照してください。
profiles コマンドでそのプロファイルの内容が表示されます。
% profiles -p Stop info
それぞれの権利プロファイルには、関連するヘルプファイルが用意されています。ヘルプファイルは、HTML 形式で、カスタマイズが可能です。ヘルプファイルは、/usr/lib/help/profiles/locale/C ディレクトリにあります。
権利プロファイルの内容は、3 つの方法で表示できます。
getent コマンドを使用すると、システム上のすべての権利プロファイルの内容を表示できます。出力例については、「定義済みのすべてのセキュリティー属性を表示する方法」を参照してください。
profiles -p "Profile Name" info コマンドを使用すると、特定の権利プロファイルの内容を表示できます。
profiles -l account-name コマンドを使用すると、特定のユーザーまたは役割に割り当てられている権利プロファイルの内容を表示できます。
詳細は、getent(1M) および profiles(1) のマニュアルページを参照してください。